Definition, Angriffsphasen und Tipps zur Prävention

Ransomware in ihre Schranken weisen

Cybersicherheit, Cyber Security, Ransomware-Schutz, Ransomware, Cyberangriff
LinkedInRedditWhatsAppPocket

Ransomware-Angriffe haben sich im Jahr 2025 mehr als verdoppelt und stellen damit für 92 Prozent der Branchen eine der größten Bedrohungen dar.

Auch die Zahl der aktiven Ransomware-Banden ist im letzten Jahr sprunghaft angestiegen. Derzeit sind 65 Gruppen aktiv, wobei die aktivsten unter ihnen ihre Opferzahl im Vergleich zum Vorjahr um mehr als 200 Prozent gesteigert haben.

Anzeige

Kay Ernst von Zero Networks gibt einen Überblick zum Thema und erläutert den Effekt von Mikrosegmentierung auf die Ausbreitung von Ransomware:

Ransomware ist eine Art von Schadcode, der Dateien oder Systeme verschlüsselt und somit unzugänglich macht, bis ein Lösegeld gezahlt wird. Angreifer verlangen oft Zahlungen in Kryptowährungen, um die Rückverfolgung zu erschweren. Das „Double Extortion“-Modell, also der doppelten Erpressung mit Ransomware macht sie besonders gefährlich: Zusätzlich zur Sperrung von Dateien exfiltrieren viele Ransomware-Varianten Daten und drohen mit deren Veröffentlichung oder Verkauf, wenn das Lösegeld nicht gezahlt wird.

Warum sind Ransomware-Angriffe so schwer zu stoppen?

Da das Ransomware-Geschäft so profitabel ist, können Cyberkriminelle talentiert Top-Kräfte einstellen, um Zero-Day-Lücken zu finden, maßgeschneiderte Tools (die schwerer zu erkennen sind) zu entwickeln und fortschrittliche Ausweichtechniken wie Hypervisor Jackpotting und die Umgehung von EDRs zu erforschen. Mit anderen Worten: Ransomware-Banden verfügen über Ressourcen und Fähigkeiten, die früher nur Nationalstaaten vorbehalten waren, sodass ihre Opfer militärische Abwehrmaßnahmen benötigen, um sich angemessen zu schützen. Ransomware-Angriffe sind in der Regel hochentwickelt; sie nutzen oft legitime Netzwerkfunktionen aus, was es unglaublich schwierig macht, Ransomware zu erkennen, bevor es zu spät ist.

Anzeige

Wie funktioniert Ransomware?

Es gibt zwar verschiedene Arten von Ransomware, aber in den meisten Fällen werden Dateien oder Systeme nach einer Phase der heimlichen Bewegung durch das Netzwerk verschlüsselt. Obwohl Ransomware-Angriffe viele Formen annehmen können, folgen sie im Allgemeinen dem gleichen Ablauf.

Ransomware-Angriffe erfolgen in der Regel in sechs Phasen:

  1. Aufklärung: Die Angreifer untersuchen das Netzwerk, identifizieren wertvolle Ressourcen und suchen nach Schwachstellen.
  2. Infektion: Sie verschaffen sich ersten Zugriff – häufig über Phishing-E-Mails, Exploit-Kits oder kompromittierte Anmeldedaten.
  3. Eskalation: Die Angreifer bewegen sich lateral durch das Netzwerk und erweitern ihre Berechtigungen, um an sensible Systeme zu gelangen.
  4. Scannen: Die Malware listet Dateien und Systeme auf, um Ziele für die Verschlüsselung zu identifizieren.
  5. Verschlüsselung: Nach der Identifizierung der Ziele setzen die Angreifer Ransomware ein, um Dateien oder Systeme zu verschlüsseln, oft begleitet von der Löschung von Backups oder Schattenkopien.
  6. Lösegeld: Die Angreifer verlangen eine Zahlung für die Herausgabe des Entschlüsselungscodes; oft werden diese Forderungen mit der Drohung verbunden, die Daten zu veröffentlichen.
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Arten von Ransomware

Angreifer verwenden bei Ransomware-Angriffen verschiedene Techniken und Monetarisierungsstrategien, darunter:

  1. Verschlüsselnde Ransomware: Diese häufigste Kategorie von Ransomware verschlüsselt Dateien, sodass Angreifer Lösegeld für die Entschlüsselung verlangen können.
  2. Scareware: Durch die Anzeige gefälschter Warnmeldungen oder Popups täuscht Scareware den Benutzern vor, dass ihr System infiziert ist, um Geld zu erpressen.
  3. Screen Lockers: Diese Bildschirmsperren verhindern, dass Benutzer auf ihren Bildschirm zugreifen können, bis ein Lösegeld gezahlt wird.
  4. DDoS-Erpressung: Distributed-Denial-of-Service-Angriffe (DDoS) werden angedroht oder ausgeführt, sofern keine Zahlung erfolgt
  5. Ransomware-as-a-Service (RaaS): Bei diesem immer beliebter werdenden Geschäftsmodell verkaufen oder vermieten Entwickler Ransomware-Kits an andere Kriminelle.

Wie sich Ransomware-Angriffe verhindern lassen

Ransomware-Angriffe sind raffiniert, komplex und gut koordiniert. Das bedeutet, dass Unternehmen einen starken Schutz gegen jede Form von Angriff einrichten und akzeptieren müssen, dass es zu Sicherheitsverletzungen kommen wird. Die besten Strategien zur Ransomware-Prävention behandeln Ransomware als unvermeidbar – und nehmen ihr dann ihre Fähigkeit zur Verbreitung. Eine umfassende Ransomware-Abwehr sollte proaktive Sicherheitskontrollen und Maßnahmen zur Optimierung der Wiederherstellung umfassen.

Proaktive Sicherheitskontrollen

Da Ransomware-Angriffe so oft unentdeckt bleiben, bieten präventive Kontrollen den besten Schutz:

  • Mikrosegmentierung: Ransomware-Angriffe benötigen Netzwerkzugriff, um sich zu verbreiten. Dies gilt sowohl für die frühen Phasen eines Angriffs, in denen das interne Netzwerk gescannt wird, als auch für die späteren Phasen, in denen Schwachstellen in exponierten Diensten ausgenutzt oder kompromittierte Anmeldedaten verwendet werden, um sich zu verbreiten. Ein segmentiertes Netzwerk schneidet Angreifer ab, sodass sie fast nichts tun können, um sich zu verbreiten.
  • MFA: Anmeldedaten gehören zu den am häufigsten verwendeten „Waffen“ von Angreifern, die sie oft nur allzu leicht stehlen oder knacken können. Durch den Schutz privilegierter Zugriffe mit MFA können Verteidiger das Risiko erheblich begrenzen.
  • Deaktivieren unnötiger Ports und Dienste: Das Abschalten ungenutzter Fernzugriffsprotokolle (wie RDP und SMB) und die Durchsetzung strenger Zugriffskontrollen schränken die Angriffswege ein und reduzieren die Angriffsfläche für Ransomware.
  • Robuste Perimeter-Abwehr: Lösungen wie Next-Generation-Firewalls (NGFW) und granulare Zugriffskontrollen minimieren Bedrohungen durch eine verstärkte Absicherung des Nord-Süd-Datenverkehrs.

Maßnahmen zur Optimierung der Wiederherstellung

Die vollständige Verhinderung von Ransomware ist zwar ideal, aber ebenso wichtig ist die Vorbereitung auf die Wiederherstellung. Bewährte Verfahren zur Optimierung der Wiederherstellung sind Backup-Systeme sowie kontinuierliche Überwachung und Reaktion. Das bedeutet: Regelmäßige, verschlüsselte Backups in einer vom Hauptnetzwerk getrennten Umgebung vereinfachen die Wiederherstellung für den Fall, dass Ransomware wichtige Daten verschlüsselt. Unternehmen sollten zudem auf verdächtige Aktivitäten im Netzwerk achten und darauf reagieren, um aufkommende Bedrohungen frühzeitig zu erkennen. Zu beachten ist hierbei: Endpoint Detection and Response (EDR)-Systeme allein können laterale Bewegungen nicht blockieren und vor Ransomware schützen.

Sobald die Ransomware verbreitet ist, sind deren Entfernung und die Wiederherstellung verschlüsselter Daten von entscheidender Bedeutung. Schnelligkeit ist wichtig, aber Vorsicht auch. Zu schnelles Handeln ohne klare Strategie kann zu einer erneuten Infektion oder zu einer Beeinträchtigung der Wiederherstellungsmaßnahmen führen. Der erste Schritt zur Eindämmung von Ransomware besteht darin, die Reichweite der Infektion zu begrenzen. Betroffene Systeme gilt es vom Netzwerk zu trennen, um zu verhindern, dass die Malware andere Ressourcen scannt, verschlüsselt oder auf andere Ressourcen überspringt. Wenn bereits eine Netzwerksegmentierung vorhanden ist, lassen sich infizierte Bereiche gezielter isolieren und so die Auswirkungen auf das gesamte Unternehmen reduzieren.

Nach einem Ransomware-Angriff müssen nicht nur Daten „wiederhergestellt“ werden – auch alle Anmeldedaten, Geheimnisse, API-Schlüssel und privaten Schlüssel sind möglicherweise kompromittiert und müssen neu generiert werden, um einen erneuten Angriff zu verhindern.

Ransomware unmittelbar blockieren

Geschwindigkeit, Tarnung und Raffinesse sind die größten Waffen von Ransomware. Da sie sich innerhalb eines Netzwerks so schnell und oft unentdeckt verbreitet, können herkömmliche Sicherheitslösungen einfach nicht Schritt halten. Entscheidend ist eine Lösung, die laterale Bewegungen unmöglich macht. Durch die Kombination von Mikrosegmentierung und granularen identitätsbasierten Zugriffskontrollen können Unternehmen Ransomware-Angriffe stoppen, bevor sie sich ausbreiten, und so sicherstellen, dass Angreifer niemals Berechtigungen eskalieren oder kritische Systeme erreichen können. Selbst wenn Anmeldedaten kompromittiert werden, sorgt eine Just-in-Time-MFA auf Netzwerkebene dafür, dass diese Anmeldedaten nicht verwendet werden können. Mit anderen Worten: Wenn Ransomware die Perimeter-Sicherheit durchbricht, bleibt sie an Ort und Stelle und kann sich nicht über den ursprünglichen Eintrittspunkt hinausbewegen. Der beste Schutz vor Ransomware ist nicht reaktiv, sondern integriert.

Autor: Kay Ernst, Zero Networks


Anzeige

Artikel zu diesem Thema

Ransomware beginnt mit dem Login

Weitere Artikel

Ist die Jagd nach den „besten” Cybersicherheitslösungen den Aufwand wert?
Cyberkriminelle locken Jobsuchende in die Falle
Die wichtige Rolle der SaaS-Datensicherung nach Angriffen von Salt Typhoon
Systemic Cyber Risk: Wenn die Cloud verwundbarer ist als gedacht
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.